神秘万能间谍软件藏身5年之久

国家级黑客组织并非随处可见。配备80种不同组件,拥有各种奇怪而独特的网络间谍招数,秘密运作5年以上的间谍软件,就更加少见了。

在新加坡举行的卡巴斯基安全分析师峰会上,卡巴斯基安全研究员 Alexey Shulmin 披露了该安全公司发现的新间谍软件框架TajMahal——配备一系列间谍插件的自适应模块化软件。Shulmin称,TajMahal框架的80个模块不仅包括间谍软件典型的键盘记录和截屏功能,还包括前所未有的隐秘功能,可以拦截打印队列里的文档,跟踪感兴趣的文件,还能在感染主机插入U盘时自动盗取U盘中感兴趣的文档。且该独特的间谍软件工具包未呈现任何已知民族国家黑客组织的特征。

峰会演讲前,Shulmin在答复媒体邮件采访时称:

如此庞大的模块集告诉我们,这一高级持续性威胁(APT)相当的复杂。TajMahal是一个技术上非常先进和复杂的框架,包含大量在其他APT活动中从未见过的有趣功能,极其罕见。再加上其全新的代码库——与其他已知APT及恶意软件毫无代码相似度,我们认为TajMahal是特别而值得关注的。

去年秋天,卡巴斯基在某中亚国家大使馆网络中首次发现TajMahal间谍软件框架。但从TajMahal的复杂度判断,该软件不可能只部署在这一个地方。这么巨大的投入,只用在一个受害者身上太过浪费。要么还有未发现的受害者,要么该恶意软件还有其他版本,或者两种情况均存在。

美国国家安全局(NSA)菁英黑客团队 Tailored Access Operations 前成员 Jake Williams 称,这些初始发现可能指向某个非常谨慎而隐秘的国家支持的情报收集行动。该框架的可扩展性需要一支庞大的开发人员队伍加以支撑。其规避检测的能力和仅有一家已知受害者的事实也显示出,该行动在目标选择上极端谨慎,在操作上非常隐蔽,十分注重行动安全性。

卡巴斯基尚未能通过常见分析方法,比如代码匹配、共享基础设施和相似攻击技术,将TajMahal与任何已知黑客组织相关联。以中亚国家为目标的事实也对揭示黑客身份没有太大帮助——因为该描述太过模糊,且既有高级黑客团队,又对中亚感兴趣的国家就包括中国、伊朗、俄罗斯和美国等。卡巴斯基还未能明确TajMahal背后的黑客组织是如何获取目标网络初始访问权的。但卡巴斯基宣称,该组织在目标主机上植入了初始后门程序——黑客给该后门程序贴的标签是“Tokyo(东京)”。该后门采用了黑客常用的PowerShell工具来扩展感染范围,连接命令与控制服务器,以及植入更强大的多功能间谍软件载荷 “Yokohama(横滨)” 及其数十个功能模块。

“横滨” 那瑞士军刀式的通用性引起了卡巴斯基研究人员的重视。在包含国家黑客组织常用的很多强大功能的同时,“横滨” 还具备一些很特殊的功能:受感染PC上插入U盘时,该间谍软件会扫描U盘内容并向命令与控制服务器上传U盘内容清单,供黑客判断要渗漏哪些文件。如果黑客确定需下载文件清单时该U盘已移除,TajMahal可自动监视USB端口,一旦该U盘插入即开始抽取所需文件并上传。刻录到光盘或加入打印机队列的文件也有其他模块能够加以标记。

虽然这些功能不是那么华丽,但表现出该间谍软件背后的黑客行事谨慎而注重效率,努力甄别受害主机上大量内容中哪些文件值得盗取。毕竟,不重要的信息也就不会打印出来,存到U盘上,或者刻录进光盘中了。

考虑到其复杂性和兼包并蓄的各种功能,TajMahal在目标系统中潜藏的时间就特别引人注意了。卡巴斯基称,至少自2014年开始,该中亚国家大使馆就已经被入侵了。但其各个模块的编译时间却既有2014年前的,也有之后的,有些模块可追溯到2013年,有些则是2018年才编译生成的。

无论如何,该间谍软件框架都潜藏了超过5年以上未被检测到。至于这是因为其活跃程度相对不高还是别的什么原因,就是另一个令人感兴趣的问题了。该间谍软件框架的发现给网络安全社区提了个醒:网络空间中发生的所有事情并未真正纳入安全社区的完全监控之下。

上一篇:锐捷安全:今天起,不再做一个安静的安全设备

下一篇:聊天服务:情报项目必备数据源